-
Die Erfindung betrifft ein Verfahren zur Manipulationsüberwachung einer Laufleistung eines Fahrzeugs, eine Manipulationsüberwachsungsanordnung zum Ausführen des Verfahrens und ein Fahrzeug mit einer Manipulationsüberwachsungsanordnung.
-
Als Laufleistung wird in der Regel eine Betriebsdauer technischer Geräte bezeichnet. Für Fahrzeuge wird eine Laufleistung mittels eines Kilometerzählers angezeigt.
-
Bei Fahrzeugen mit einfachen Fahrzeugarchitekturen wird die Laufleistung meistens in einem fahrzeugseitigen Steuergerät berechnet, gespeichert und in einem fahrzeugseitigen Anzeigeinstrument dem Fahrer angezeigt. Dazu wird eine zurückgelegte Strecke anhand von Daten über Drehzahlen und/oder Drehimpulsen von Rädern eines Fahrzeugs, die mittels entsprechenden Messeinrichtungen erfasst werden, unter Kenntnis des Radumfangs berechnet. Die Informationen zu den Raddrehzahlen oder Raddrehimpulsen werden über ein fahrzeuginternes Bussystem vom erfassenden Steuergerät, meistens das Bremsensteuergerät oder eine „Elektronische Stabilitätskontrolle“ (ESC), im Klartext übertragen. Die Informationen sind somit in der Regel nicht codiert oder verschlüsselt.
-
Wird diese Datenverbindung zwischen der Messeinrichtung und entsprechendem Steuergerät durch ein nachträglich eingebautes Gateway unterbrochen und manipuliert, ist es möglich die Informationen über die Raddrehzahlen oder Raddrehimpulse auf sehr kleine Werte oder auf null zu setzen. Dadurch wird die Laufleistung zu gering bestimmt oder gar nicht inkrementiert. Ein solcher „Man-in-the-middle“ (MITM)-Angriff führt dazu, dass die ermittelte und angezeigte Laufleistung nicht mit der tatsächlichen übereinstimmt. Ein Fahrzeugbesitzer könnte ein solches Gateway während seiner Fahrzeugnutzung einbauen, vor dem Wiederverkauf entfernen und damit bei der Angabe der Laufleistung betrügen.
-
Ferner wird bei aktuellen Zulassungsverfahren für Kraftfahrzeuge nach „Worldwide Harmonised Light-Duty Vehicles Test Procedure“ (WLTP) eine Verfälschungssicherheit für die Laufleistung gefordert ist. Um Zulassungen nicht zu gefährden, müssen daher Absicherungsmaßnahmen gegen eine mögliche Verfälschung/Manipulation der Laufleistung erhoben werden.
-
Eine bisherige Möglichkeit für komplexere Fahrzeugarchitekturen ist es, die Laufleistung in getrennten Steuergeräten zu berechnen und anschließend zu vergleichen. Auf diese Weise müssten mehrere MITM-Angriffe stattfinden, um die Laufleistung zu manipulieren.
-
Wenn eines der Steuergeräte direkt, z.B. über eine entsprechende Datenleitung, mit den Radsensoren verbunden ist, ist ein MITM-Angriff nicht wirksam, da die Daten vor der Auswertung nicht manipuliert werden können. Hierbei müsste der Berechnungsalgorithmus mehrfach implementiert werden, wodurch Rechenleistung und Speicher belegt werden. Zusätzlich muss ein Abgleichalgorithmus implementiert, zusätzliche Daten über das Bussystem übertragen und eine Strategie entwickelt werden, wie mit einem fehlgeschlagenen Abgleich umgegangen wird. Das hat zur Folge, dass Aufwand, Kosten, Busauslastung und Stromverbrauch steigen.
-
Ferner ist bekannt, die Informationen aus den Radsensoren entweder signiert oder sogar verschlüsselt über das fahrzeuginterne Bussystem zu übertragen, wodurch die (Daten-) Integrität garantiert werden kann. Zur Verschlüsselung oder Signierung der Informationen müssen zum einen zusätzliche Algorithmen implementiert werden, wodurch Rechenlast und Speicherauslastung bei Sender und Empfänger steigen. Zum anderen muss ein Schlüsselaustausch (Kryptografie) stattfinden oder die jeweiligen Schlüssel den beiden Partnern bekannt sein. Wenn man identische Schlüssel für jedes Fahrzeug wählt, besteht die Gefahr, dass sich ein einmaliges Knacken des Schlüssels lohnen könnte und möglich wäre. Wenn man individuelle Schlüssel pro Fahrzeug oder sogar pro Verbindung wählt, steigt der damit verbundene Rechen- und Implementierungsaufwand enorm.
-
Die
DE 10 2017 209 817 A1 beschreibt ein Verfahren zur Manipulationssicherung eines Kilometerstandes eines Fahrzeugs. Dabei werden ein oder mehrere Wegstücke ermittelt, insbesondere mittels der Sensorik im Fahrzeug, und die Wegstücke aufsummiert. Ein aktueller Kilometerstand des Fahrzeugs wird festgestellt und mit der Summe der Wegstücke verglichen. Eine Gültigkeit des aktuellen Kilometerstandes wird festgestellt, falls der aktuelle Kilometerstand und die Summe der Wegstücke sich maximal um ein vorgegebenes Maß unterscheiden. Eine Ungültigkeit des aktuellen Kilometerstandes wird festgestellt, falls der aktuelle Kilometerstand und die Summe der Wegstücke sich mehr als ein vorgegebenes Maß unterscheiden. Alternativ kann zum Vergleich des aktuellen Kilometerstands eines Fahrzeugs auch die Liter des bisherigen verbrauchten Kraftstoffs mit dem durchschnittlichen Kraftstoffverbrauch multipliziert werden. Das Ergebnis kann mit dem aktuellen Kilometerstand des Fahrzeugs verglichen werden.
-
Aus der
DE 10 2018 201 064 A1 ist ein Verfahren zum Überwachen einer zurückgelegten Gesamtwegstrecke eines Fahrzeugs sowie eine entsprechende Vorrichtung, ein Fahrzeug mit einer solchen Vorrichtung und eine entsprechende Referenzdatenbank bekannt. Streckendaten, die eine zurückgelegte Gesamtwegstrecke des Fahrzeugs repräsentieren, werden aus einem Datenspeicher des Fahrzeugs ausgelesen und an eine fahrzeugexterne Referenzdatenbank gesendet. Wenn in Reaktion auf das Senden der Streckendaten Referenzdaten von der Referenzdatenbank empfangen werden, die eine Referenzgesamtwegstrecke des Fahrzeugs repräsentieren, werden die im Datenspeicher abgelegten Streckendaten so ersetzt oder modifiziert, dass sie nun die Referenzgesamtwegstrecke aus den empfangenen Referenzdaten als zurückgelegte Gesamtwegstrecke repräsentieren. Andernfalls werden die bislang schon im Fahrzeugspeicher abgelegten Streckendaten so beibehalten, dass diese weiterhin die zurückgelegte Gesamtwegstrecke des Fahrzeugs repräsentieren. Anhand des Kraftstoffverbrauchs und/oder einem Energieverbrauch kann überprüft werden, ob eine beim Vergleichen festgestellte Differenz zwischen der durch die Referenzdaten repräsentierten Referenzgesamtwegstrecke und der durch die ausgelesenen Streckendaten repräsentierten Gesamtwegstrecke plausibel ist, d.h. ob der Kraftstoffverbrauch und/oder der Energieverbrauch die festgestellte Differenz rechtfertig.
-
Aufgabe der vorliegenden Erfindung ist es, ein verbessertes Verfahren, eine verbesserte Manipulationsüberwachsungsanordnung und ein verbessertes Fahrzeug mit einer Manipulationsüberwachsungsanordnung bereitzustellen, die u.a. die oben genannten Nachteile wenigstens teilweise überwinden.
-
Diese Aufgabe wird durch das Verfahren nach Anspruch 1, die Manipulationsüberwachungsanordnung nach Anspruch 9 und das Fahrzeug nach Anspruch 10 gelöst.
-
Weitere vorteilhafte Ausgestaltungen der Erfindung ergeben sich aus den Unteransprüchen und der folgenden Beschreibung bevorzugter Ausführungsbeispiele der vorliegenden Erfindung.
-
Ein erster Aspekt der vorliegenden Erfindung betrifft ein Verfahren zur Manipulationsüberwachung einer Laufleistung eines Fahrzeugs, insbesondere eines Kraftfahrzeugs. Die Laufleistung kann durch einen fahrzeugseitigen Kilometerzähler dargestellt werden. Das Verfahren umfasst die Schritte:
- - Ermitteln einer Bewegungsinformation des Fahrzeugs; und
- - Starten einer Plausibilisierungsphase der Manipulationsüberwachung, wenn sich aus der Bewegungsinformation ergibt, dass ein ungewöhnliches Fahrverhalten vorliegt, wobei die Plausibilisierungsphase umfasst:
- - Ermitteln eines tatsächlichen Verbrauchswerts eines Antriebs des Fahrzeugs für ein Zeitintervall; und
- - Ermitteln eines Referenzverbrauchswerts für das Zeitintervall; und
- - Erzeugen eines Manipulationssignals, wenn eine Abweichung des tatsächlichen Verbrauchswerts von dem Referenzverbrauchswert einen Grenzwert überschreitet.
-
Die Bewegungsinformation des Fahrzeugs kann aus Sensordaten von fahrzeugseitigen Radsensoren bestimmt werden. Das Fahrzeug weist regelmäßig eine derartige Radsensorik auf. Über die Radsensoren sind u.a. (Mess-)Daten über Raddrehzahlen und Raddrehimpulse erfassbar. Insbesondere kann die Bewegungsinformation indikativ für eine, insbesondere aktuelle und vergangene, Fahrzeuggeschwindigkeit und/oder -beschleunigung sein. Ferner wird mithilfe der Radsensoren die Laufleistung des Fahrzeugs ermittelt. Allerdings können die Sensordaten, wie eingangs erwähnt, durch einen MITM-Angriff manipuliert werden, so dass die Bewegungsinformation des Fahrzeugs ebenfalls manipuliert wird.
-
Die Plausibilisierungsphase innerhalb der Manipulationsüberwachung startet bzw. wird aktiviert, wenn ein ungewöhnliches Fahrverhalten vorliegt. Ein ungewöhnliches Fahrverhalten liegt vor, wenn ein aus der Bewegungsinformation abgeleitetes Geschwindigkeits- und/oder Beschleunigungsprofil des Fahrzeugs nicht ein normales Fahrverhalten widerspiegelt. Das kann bspw. eine Geschwindigkeitsänderung des Fahrzeugs sein, insbesondere durch einen Bremsvorgang, die technisch nicht plausibel ist. Alternativ oder ergänzend kann ein ungewöhnliches Fahrverhalten vorliegen, wenn das Fahrzeug eine vorbestimmte Grenzgeschwindigkeit unterschreitet, insbesondere für eine vorbestimmte Zeitdauer. Dabei kann die Grenzgeschwindigkeit bspw. zwischen 0 km/h bis 15 km/h und insbesondere 10 km/h sein. Die optionale vorbestimmte Zeitdauer kann bspw. zwischen 0 Minuten und 25 Minuten betragen. Es sind auch andere Grenzgeschwindigkeiten und vorbestimmte Zeitdauern möglich. Alternativ oder ergänzend sind auch weitere Szenarien für ein ungewöhnliches Fahrverhalten möglich.
-
Der Antrieb des Fahrzeugs kann bspw. ein Verbrennungsmotor oder ein Elektromotor sein. Der Antrieb kann auch eine Kombination der beiden sein, so dass das Fahrzeug als ein Hybridfahrzeug ausgebildet ist. Der tatsächliche Verbrauchswert kann somit einen tatsächlichen Kraftstoffverbrauch eines Verbrennungsmotors und/oder den tatsächlichen Energieverbrauch eines Elektromotors während einer Fahrt angeben. Aber auch andere Fahrzeugantriebssysteme und entsprechende Energie- oder Kraftstoffverbräuche sind möglich.
-
Der tatsächliche Verbrauchswert wird pro vorbestimmtes Zeitintervall ermittelt. Der tatsächliche Verbrauchswert kann ermittelt werden, indem ein Unterschied im Kraftstoffvorrat des Fahrzeugs und/oder ein Unterschied in einer Kapazität der Antriebsbatterie des Fahrzeugs über das Zeitintervall ermittelt wird. Hier ist mit Kapazität der Batterie die in der Batterie gespeicherte elektrische Ladung gemeint.
-
Das Zeitintervall kann beliebig gewählt werden. In manchen Ausführungsformen wird das Zeitintervall und insbesondere dessen Dauer derart gewählt, dass der tatsächliche Verbrauchswert ausreichend genau geschätzt oder ermittelt werden kann. So kann das Zeitintervall derart gewählt sein, dass seine Dauer 30 Minuten beträgt. Alternativ kann das Zeitintervall variabel sein und einem Intervall entsprechen, in dem eine vorbestimmte Zyklenzahl mit abwechselnder Gaspedal- und Bremspedalbetätigung erfolgt. Dabei kann ein Zyklus eine Betätigung des Gaspedals sein, auf die eine Betätigung des Bremspedals (unmittelbar) erfolgt. Die vorbestimmte Zyklenzahl kann bspw. fünf betragen, so dass das Zeitintervall derart bestimmt wird, dass in dem Zeitintervall fünf Zyklen erfolgen. Statt einer Gaspedal- und Bremspedalbetätigung können auch entsprechende Beschleunigungs- und Bremssteuersignale verwendet werden, um die Zykluszahl zu bestimmen.
-
Ferner wird der Referenzverbrauchswert für das Zeitintervall ermittelt. Der tatsächliche Verbrauchswert und der Referenzverbrauchswert werden für dasselbe Zeitintervall bestimmt. Der Referenzverbrauchswert kann von einer Datenbank abgerufen werden. Diese Datenbank kann fahrzeugseitig oder auch auf einem externen Server vorliegen. Ferner kann der Referenzverbrauchswert auch fahrzeugseitig auf einem Steuergerät ermittelt werden.
-
Der tatsächliche Verbrauchswert wird mit dem Referenzverbrauchswert verglichen. So wird die Abweichung zwischen diesen beiden Verbrauchswerten bestimmt, indem der Referenzverbrauchswert von dem tatsächlichen Verbrauchswert abgezogen wird. Wenn die Abweichung des tatsächlichen Verbrauchswerts von dem Referenzverbrauchswert den Grenzwert überschreitet, so liegt der Verdacht nahe, dass eine Manipulation der Laufleistung erfolgt und das Manipulationssignal wird erzeugt. Insbesondere wird das Manipulationssignal erzeugt, wenn der tatsächliche Verbrauchswert über dem Referenzverbrauchswert liegt und dabei die Abweichung den Grenzwert überschreitet.
-
Der Grenzwert kann abhängig vom Referenzverbrauchswert sein. Ist der Referenzverbrauchswert beispielsweise ein vorbestimmter Wert, so kann der Grenzwert null betragen. Mit anderen Worten, sobald der tatsächliche Verbrauchswert den Referenzverbrauchswert erreicht und/oder überschreitet, wird das Manipulationssignal erzeugt.
-
Wird der Referenzverbrauchswert in Abhängigkeit der ermittelten Bewegungsinformation des Fahrzeugs bestimmt, so kann der Grenzwert für die Abweichung derart gewählt werden, dass eine Überschreitung des Grenzwerts einen für die ermittelte Bewegungsinformation unplausiblen tatsächlichen Verbrauchswert darstellt. Insbesondere kann der Referenzverbrauchswert unter Berücksichtigung der ermittelten Fahrzeuggeschwindigkeit oder der ermittelten zurückgelegten (Fahr-)Strecke bestimmt werden. Mit „unplausiblen tatsächlichen Verbrauchswert“ ist gemeint, dass der tatsächliche Verbrauchswert zu hoch ist für die ermittelte (evtl. manipulierte) Bewegungsinformation, z. B. Fahrzeuggeschwindigkeit oder zurückgelegte Strecke. Beispielsweise kann der Grenzwert für die Abweichung zwischen 40 % und 60 %, insbesondere 50 %, des tatsächlichen Verbrauchswerts betragen. Dadurch kann eine Robustheit des Verfahrens erhöht werden.
-
Als Beispiel zur Veranschaulichung soll der Fall betrachtet werden, in dem der Grenzwert 50 % des tatsächlichen Verbrauchswerts beträgt. Wenn nun die Abweichung (Differenz) zwischen dem tatsächlichen Verbrauchswert und dem Referenzverbrauchswert nun größer als die 50% des tatsächlichen Verbrauchswert ist, so wird das Manipulationssignal erzeugt.
-
Das Manipulationssignal kann solange vorliegen, wie die Abweichung den Grenzwert überschreitet. Es können auch mehrere Manipulationssignale erzeugt werden.
-
Somit kann eine mögliche Manipulation der Laufleistung über einen tatsächlichen Verbrauchswert des Antriebs des Fahrzeugs detektiert werden und zwar durch die Auswertung von Sensordaten. Diese Sensordaten werden durch regelmäßig fahrzeugseitig bereits vorhandene Sensorik erfasst. Mit anderen Worten, fahrzeugseitig liegen regelmäßig bereits Messeinrichtungen vor, die dazu eingerichtet sind, Daten zu erfassen, die indikativ für die Bewegungsinformation des Fahrzeugs sowie den tatsächlichen Kraftstoffverbrauch und/oder den tatsächlichen Energieverbrauch der Antriebsbatterie des Fahrzeugs sind. Dadurch ist das Verfahren besonders einfach auch auf bisherige Fahrzeuge anwendbar, ohne dass es zusätzlicher Sensorik bedarf. So können Kraftstoffsensoren vorliegen, die einen Füllstand, eine Quantität, ein Volumen und/oder eine Menge von Kraftstoff in einem Kraftstofftank des Fahrzeugs erfassen. Ferner können auch Messeinrichtungen vorliegen, die einen Ladezustand, und/oder eine Ladungsmenge einer Antriebsbatterie des Fahrzeugs erfassen. Zum Beispiel können fahrzeugseitige Sensoranordnungen Radsensoren, Füllstandsensoren, Durchflusssensoren, Messeinrichtungen zur Erfassung der Leistungsabnahme oder Ladungsentnahme aus einer Batterie, etc. umfassen.
-
Indem die Plausibilisierungsphase erst aktiviert wird, wenn ein ungewöhnliches Fahrverhalten vorliegt, kann eine unnötige Beanspruchung von Steuergerätressourcen verhindert werden.
-
Auch wird eine Verfälschungssicherheit der Laufleistung durch das erfindungsgemäße Verfahren erhöht oder sogar gewährleistet, ohne Einsatz und Verwaltung von kryptographischen Schlüsseln. Dadurch können eine erhöhte Rechenlast und eine erhöhte Speicherauslastung von fahrzeugseitigen Steuergeräten vermieden werden.
-
Ferner bietet das erfindungsgemäße Verfahren einen guten Schutz gegen Angriffe und Manipulationen der Laufleistung, da eine gleichzeitige Manipulation von Radsensorinformationen und Kraftstoffvorrat und/oder Batteriekapazität unwahrscheinlich ist. Durch diese gleichzeitige Manipulation hat der manipulierende Fahrzeugführer keine Informationen über zurückgelegte Strecke und Tankinhalt bzw. Batterieenergievorrat, so dass eine Fahrt mit dem manipulierten Fahrzeug über einen längeren Zeitraum nicht ausreichend planbar ist. Im Speziellen kann der Fahrzeugführer aufgrund der mangelnden Informationen nicht wissen, wann er tanken bzw. die Antriebsbatterie aufladen muss. Somit wäre ein Angriff mittels der gleichzeitigen Manipulation für den Fahrzeugführer sehr unkomfortabel.
-
In manchen Ausführungsformen kann das ungewöhnliche Fahrverhalten mindestens eines von folgenden umfassen:
- - eine Geschwindigkeit des Fahrzeugs unterschreitet eine Grenzgeschwindigkeit; und
- - eine Geschwindigkeitsänderung durch Bremsen des Fahrzeugs überschreitet einen Bremsgrenzwert.
-
Hierbei kann die Grenzgeschwindigkeit eine vorbestimmte Geschwindigkeit sein. Insbesondere kann die Grenzgeschwindigkeit im Bereich einer Schrittgeschwindigkeit liegen, wie z. B. zwischen 1 km/h und 10 km/h. In einer Ausführungsform kann die Grenzgeschwindigkeit im Wesentlichen 10km/h sein. So eine niedrige Grenzgeschwindigkeit, insbesondere über einen längeren Zeitraum, kann einen Manipulationsverdacht nahelegen.
-
Auch wenn eine Geschwindigkeitsänderung durch Bremsen des Fahrzeugs einen Bremsgrenzwert überschreitet, kann davon ausgegangen werden, dass eine Bewegungsinformation des Fahrzeugs manipuliert wurde. Dabei ist der Bremsgrenzwert so gewählt, dass die Überschreitung des Grenzwerts einen Geschwindigkeitsabfall darstellt, der schneller ist als bei einem tatsächlichen Bremsvorgang des Fahrzeugs.
-
Auch weitere nicht plausible Bewegungsinformationen und Bewegungsprofile des Fahrzeugs können als ungewöhnliches Fahrverhalten betrachtet werden. Weitere Beispiele für nicht plausible Bewegungsinformationen und Bewegungsprofile sind Sprünge im GPS-Signal oder vorliegende Blinkerbetätigungen, die über entsprechende Steuersignale erfassbar sind, ohne eine Erhöhung des Kilometerzählers.
-
In weiteren Ausführungsformen kann der tatsächliche Verbrauchswert indikativ für mindestens eines von tatsächlichem Kraftstoffverbrauch und tatsächlichem Energieverbrauch sein. Es ist somit auch möglich, die oben genannten Verfahren auch für ein Hybridfahrzeug einzusetzen, da ein kombinierter Kraftstoff-/Energieverbrauch betrachtet wird. Zur Ermittlung der tatsächlichen Verbrauchswerte können fahrzeugseitig bereits vorhandene Sensoren verwendet werden.
-
In anderen Ausführungsformen kann der Referenzverbrauchswert ein vorbestimmter Wert sein oder in Abhängigkeit der Bewegungsinformation des Fahrzeugs bestimmbar sein. Wenn der Referenzverbrauchswert in Abhängigkeit der Bewegungsinformation des Fahrzeugs bestimmt wird, so wird bspw. zunächst die aus der Bewegungsinformation abgeleitete Fahrzeuggeschwindigkeit genommen und hierfür der Verbrauchswert ermittelt, der für die abgeleitete Fahrzeuggeschwindigkeit üblich ist. Der Zusammenhang zwischen Verbrauchswert und Bewegungsinformation, insbesondere Fahrzeuggeschwindigkeit, kann in einer Datenbank hinterlegt sein. Dazu kann die Datenbank Verbrauchskennfelder, entsprechende Modelle zur Bestimmung eines Verbrauchswerts oder ähnliches aufweisen.
-
Alternativ oder ergänzend kann der Referenzverbrauchswert derjenige Verbrauchswert sein, den das Fahrzeug regelmäßig bei einer Geschwindigkeit von 40 km/h aufweist. Diese Geschwindigkeit ergibt sich aus dem Real-Driving-Emission-Prüfverfahren.
-
Wenn nun der tatsächliche Verbrauchswert von dem Referenzverbrauchswert, d.h. von einem erwarteten Verbrauchswert, abweicht, wird das Manipulationssignal erzeugt.
-
In einigen Ausführungsformen kann das Verfahren ferner ein Erfassen eines Motorstartsignals und ein Einleiten der Manipulationsüberwachung nach Ablauf einer Mindestzeit nach dem Motorstartsignal umfassen. Aus dem Motorstartsignal kann der Beginn eines Fahrzyklus abgeleitet werden. Die Mindestzeit kann beliebig gewählt werden, so kann sie zwischen 5 und 20 Minuten betragen und insbesondere 10 Minuten. Indem die Manipulationsüberwachung erst nach Ablauf der Mindestzeit aktiviert wird, können somit Steuergerätressourcen zu Beginn einer Fahrt gespart werden. Ferner werden auch solche Situationen nicht beachtet, bei denen man nach einem Motorstart nicht sofort losfährt oder erstmal im Schritttempo fährt, wie z. B. bei Ausfahrten und Garagen.
-
In anderen Ausführungsformen kann das Verfahren ferner ein Feststellen einer Manipulation umfassen, wenn das Manipulationssignal über eine Mindestdauer innerhalb eines Fahrzyklus vorliegt oder wenn das Manipulationssignal in einer Mindestanzahl an Fahrzyklen innerhalb einer vorbestimmten Anzahl von aufeinanderfolgenden Fahrzyklen jeweils vorliegt. Ein Fahrzyklus entspricht einem Starten und einem darauffolgenden Stoppen des Fahrzeugantriebs. Insbesondere kann ein Start des Fahrzyklus durch ein Motorstartsignal und ein Ende des Fahrzyklus durch ein Motorstoppsignal erfasst werden.
-
Dadurch kann sichergestellt werden, dass gesonderte und seltene Fahrsituationen, in denen ein sehr hoher Kraftstoffverbrauch bei kleiner Geschwindigkeit dennoch möglich ist, zwar zum Erzeugen eines Manipulationssignals, aber nicht zum Feststellen einer Manipulation führen.
-
Dabei kann die Mindestdauer beliebig lang gewählt werden, bspw. zwischen 2 bis 6 Stunden und insbesondere 4 Stunden. Die Mindestdauer sollte derart gewählt sein, dass mit einer hohen Wahrscheinlichkeit von einer Manipulation ausgegangen werden kann, wenn ein einziges Manipulationssignal in einem einzigen Fahrzyklus mit dieser Mindestdauer vorliegt. Dadurch können bestimmte Fahrsituationen wie Bergfahrten und Offroadfahrten, die in der Regel vergleichsweise kurz sind und einen hohen tatsächlichen Verbrauchswert bei niedriger Fahrzeuggeschwindigkeit aufweisen, als Manipulationsversuch ausgeschlossen werden.
-
Für den Fall, dass mehrere Fahrzyklen aufeinanderfolgen, muss das Manipulationssignal in einer Mindestanzahl dieser aufeinanderfolgenden Fahrzyklen vorliegen. Dabei kann die Mindestanzahl beliebig gewählt werden. So ist es möglich, dass die Mindestanzahl gleich der Anzahl der aufeinanderfolgenden Fahrzyklen ist. Alternativ ist auch möglich, dass die Mindestanzahl mindestens die Hälfe der Anzahl der aufeinanderfolgenden Fahrzyklen ist. Auch andere Mindestanzahlen sind möglich, sofern sie sicherstellen, dass eine Fehlauslösung/Fehlerzeugung des Manipulationssignals aufgrund von den oben erwähnten gesonderten und seltenen Fahrsituationen ausgeschlossen werden kann.
-
In weiteren Ausführungsformen kann das Verfahren ferner umfassen:
- - Hinterlegen einer Manipulationsinformation in einer Datenbank, wenn eine Manipulation festgestellt wird; und
- - Hinterlegen aller Manipulationssignale und aller Zeitintervalle, für die ein Manipulationssignal vorliegt, in der Datenbank.
-
Dabei kann die die Manipulationsinformation und die Gesamtzeit aufweisende Datenbank fahrzeugseitig vorliegen und über entsprechende Diagnosewerkzeuge auslesbar sein. Indem die Manipulationsinformation und die Gesamtzeit in der Datenbank abgelegt werden, wird eine manuelle Plausibilisierung und eine mögliche Rekonstruktion der tatsächlichen Laufleistung ermöglicht.
-
In manchen Ausführungsformen kann das Verfahren ferner umfassen:
- - Übermitteln eines Informationssignals an einen Nutzer des Fahrzeugs, wenn mindestens eines von dem Manipulationssignal und der Manipulationsinformation vorliegt.
-
Dabei kann das Informationssignal ein optisches Signal sein, beispielsweise ein Symbol in einer Anzeigevorrichtung, insbesondere eines Infotainmentsystems, des Fahrzeugs. Auch eine Benachrichtigung des Nutzers in Form einer Nachricht, z. B. E-Mail, SMS oder ähnlichem auf eines seiner mobilen Endgeräte ist möglich. Dadurch wird der Fahrer auf einen Manipulationsverdacht hingewiesen. Insbesondere wenn der Nutzer des Fahrzeugs nicht über die notwendigen Diagnosewerkzeuge verfügt, das Manipulationssignal und/oder die Manipulationsinformation vorliegt, kann der Nutzer durch das Informationssignal darauf aufmerksam gemacht werden, die Laufleistung des Fahrzeugs in einer Fachwerkstatt überprüfen zu lassen.
-
Ein zweiter Aspekt der vorliegenden Erfindung betrifft eine Manipulationsüberwachungsanordnung, die dazu eingerichtet ist, eines der obigen Verfahren auszuführen.
-
Dabei kann diese Anordnung mindestens eines von Steuergerät, Anzeigevorrichtung und Anzeigeinstrument umfassen. Ferner kann diese Anordnung auch ein System sein, das mindestens eines von entsprechenden Fahrzeugsensoren, Steuergerät, Bussystem, Anzeigevorrichtung umfasst. Alternativ kann diese Anordnung aus einer Zusammensetzung von Bestandteilen der vorher genannten Komponenten sein. Auch kann diese Anordnung eine Kombination aus mehreren Steuergeräten sein oder eine steuergerätübergreifende Anordnung sein.
-
Ein dritter Aspekt betrifft ein Fahrzeug mit der obigen Manipulationsüberwachungsanordnung.
-
Ausführungsbeispiele der Erfindung werden nun beispielhaft und unter Bezugnahme auf die beigefügte Zeichnung beschrieben. Dabei zeigt:
- 1 schematisch ein Fahrzeug mit einer Manipulationsüberwachungsanordnung; und
- 2 ein Verfahren zur Manipulationsüberwachung einer Laufleistung eines Fahrzeugs.
-
In 1 ist schematisch ein Fahrzeug 1 dargestellt. Das Fahrzeug 1 kann mit einem Verbrennungsmotor oder mit einem Elektromotor angetrieben sein. Alternativ kann das Fahrzeug 1 auch einen Verbrennungs- und Elektromotor umfassenden Hybridantrieb aufweisen.
-
Das Fahrzeug 1 weist eine Radsensorik auf, insbesondere einen Radsensor 5. Der Radsensor 5 ist eingerichtet und ausgebildet, Daten zu Raddrehzahlen und/oder Raddrehimpulsen eines Rads des Fahrzeugs 1 zu sammeln. Aus diesen Radsensordaten ist eine Bewegungsinformation des Fahrzeugs 1 ermittelbar, wie z. B. eine Geschwindigkeit und/oder eine Beschleunigung des Fahrzeugs 1. Auch eine Laufleistung, also eine zurückgelegte (Gesamt-)Strecke des Fahrzeugs 1, lässt sich aus den Radsensordaten ermitteln. So lässt sich die Laufleistung des Fahrzeugs 1 unter Kenntnis eines Radumfangs der Räder des Fahrzeugs unter Berücksichtigung von den erfassten Raddrehzahlen und/oder Raddrehimpulsen ermitteln.
-
In nicht gezeigten Alternativen ist es möglich, dass das Fahrzeug 1 pro Fahrzeugrad einen Radsensor 5 aufweist oder das Fahrzeug 1 insgesamt nur einen Radsensor aufweist. In anderen Alternativen kann das Fahrzeug 1 auch mehrere Radsensoren pro Fahrzeugrad aufweisen. In weiteren Alternativen kann das Fahrzeug 1 mehrere Radsensoren 5 aufweisen, die beliebig über die Fahrzeugräder verteilt sind.
-
Optional weist das Fahrzeug 1 einen Beschleunigungssensor 7 zur Messung der verschiedenen Beschleunigungsrichtungen des Fahrzeugs 1 auf.
-
Ferner weist das Fahrzeug 1 eine erste Messeinrichtung 9 auf, die dazu eingerichtet ist, einen Kraftstoffverbrauch des Fahrzeugs 1 zu erfassen. Insbesondere kann die Messeinrichtung 9 als ein Füllstandsensor 9 ausgebildet sein, der in einem Kraftstofftank des Fahrzeugs 1 angeordnet und dazu eingerichtet ist, einen Füllstand des Kraftstofftanks, z. B. in Litern, zu messen. Daraus ist ein tatsächlicher Kraftstoffverbrauchswert des Fahrzeugs 1 im Betrieb ermittelbar. Alternativ oder ergänzend kann das Fahrzeug 1 auch eine zweite Messeinrichtung 9' aufweisen, wenn das Fahrzeug 1 als Elektrofahrzeug oder Hybridfahrzeug ausgebildet ist. Die zweite Messeinrichtung 9' ist dazu eingerichtet, Daten zu erfassen, aus welchen ein Energieverbrauch des Fahrzeugs 1 ermittelbar ist. Die zweite Messeinrichtung 9' kann als ein Batteriemanagementsystem (BMS) 9' oder ein Teil davon ausgebildet sein. Mit anderen Worten, ein tatsächlicher Energieverbrauchswert während eines Betriebs des Fahrzeugs 1 ist mit einem Elektroantrieb oder einem Hybridantrieb ist mittels der zweiten Messeinrichtung 9' ermittelbar.
-
Die Daten aus dem Radsensor 5, aus dem optionalen Beschleunigungssensor 7 und Verbrauchsinformationen aus der ersten und/oder zweiten Messeinrichtung 9, 9` werden über eine fahrzeuginterne Datenverbindung (Bussystem) an ein Steuergerät 3 übertragen. Das Steuergerät 3 kann eingerichtet sein, aus den Daten die Bewegungsinformation und die Verbrauchsinformation des Fahrzeugs 1 zu ermitteln.
-
Ferner weist das Fahrzeug 1 ein Anzeigeinstrument 11 auf, das insbesondere eine Laufleistung des Fahrzeugs 1 anzeigt, z. B. mittels eines Kilometerzählers. Optional kann das Fahrzeug auch ein Infotainmentsystem 13 aufweisen, das insbesondere eine (nicht gezeigte) Anzeigevorrichtung aufweist. In manchen Ausführungsformen kann das Infotainmentsystem 13 die Funktion(en) des Anzeigeinstruments 11 übernehmen.
-
Das Anzeigeinstrument 11 und das Infotainmentsystem 13 sind über die fahrzeuginterne Datenverbindung mit dem Steuergerät 3 verbunden. Folglich können die Sensordaten und/oder Bewegungsinformationen sowie Verbrauchsinformationen des Fahrzeugs an das Anzeigeinstrument 11 und das Infotainmentsystem 13 übertragen werden. Das Anzeigeinstrument 11 und das Infotainmentsystem 13 können wiederum mithilfe von optischen, haptischen, akustischen Signalen die Sensordaten, die Bewegungsinformation und/oder Verbrauchsinformation an einen Fahrer weitergeben. Insbesondere kann eine Laufleistung des Fahrzeugs 1 über einen Kilometerzähler angezeigt werden.
-
In der gezeigten Ausführungsform stellen das Steuergerät 3, die erste und/oder die zweite Messeinrichtung 9, 9', das Anzeigeinstrument 11 und ggf. das Infotainmentsystem 13 eine Manipulationsanordnung dar.
-
In 2 ist ein Verfahren zur Manipulationsüberwachung einer Laufleistung des Fahrzeugs 1 gezeigt.
-
In S1 wird die Bewegungsinformation des Fahrzeugs 1 ermittelt. Die Bewegungsinformation wird aus den von dem Radsensor 5 und von dem optionalen Beschleunigungssensor 7 erfassten Daten ermittelt.
-
In S2 wird die Manipulationsüberwachung gestartet/aktiviert. Hier kann das Starten der Manipulationsüberwachung an eine Bedingung geknüpft sein, wie z. B. dass sie erst nach Ablauf einer vorbestimmten Mindestzeit nach Beginn eines Fahrzyklus aktiviert wird. Der Beginn des Fahrzyklus kann z. B. durch ein Motorstartsignal erfasst werden. Das Motorsteuersignal kann durch das Steuergerät 3 ausgegeben werden, so dass ein Betrieb des Antriebs des Fahrzeugs gestartet wird, also der Verbrennungs- und/oder Elektromotor.
-
In S3 kann eine Plausibilisierungsphase der Manipulationsüberwachung gestartet/aktiviert werden, wenn sich aus der Bewegungsinformation ein ungewöhnliches Fahrverhalten ergibt. Dabei kann das ungewöhnliche Fahrverhalten verschiedene Szenarien umfassen. In einem Szenario kann die Geschwindigkeit des Fahrzeugs 1 eine Grenzgeschwindigkeit unterschreiten und/oder auf die Grenzgeschwindigkeit herabsinken. In einem alternativen oder ergänzenden Szenario kann ein ungewöhnliches Fahrverhalten vorliegen, wenn eine Geschwindigkeitsänderung durch Bremsen des Fahrzeugs 1 einen Bremsgrenzwert überschreitet, der einen Geschwindigkeitsänderungswert oder einen Beschleunigungswert, insbesondere über eine bestimmte Zeitdauer, sein kann. Das Steuergerät 3 leitet also ein ungewöhnliches Fahrverhalten aus der ermittelten Bewegungsinformation ab.
-
In S4 wird ein tatsächlicher Verbrauchswert des Antriebs des Fahrzeugs 1 für ein (vorbestimmtes) Zeitintervall ermittelt. Der tatsächliche Verbrauchswert wird aus den Daten ermittelt, die durch die erste und/oder zweite Messeinrichtung 9, 9' erfasst werden. Je nachdem, ob das Fahrzeug mit einem Verbrennungsmotor, einem Elektromotor oder einem Hybridantrieb angetrieben wird, ist der tatsächliche Verbrauchswert indikativ für einen tatsächlichen Kraftstoffverbrauch, einen tatsächlichen Energieverbrauch, bzw. einer Kombination aus beiden. Das Zeitintervall ist beliebig auswählbar.
-
In S5 wird ein Referenzverbrauchswert für das Zeitintervall angegeben. Dabei kann der Referenzverbrauchswert abhängig von der Bewegungsinformation des Fahrzeugs 1 sein. Alternativ oder ergänzend kann der Referenzverbrauchswert auch ein vorbestimmter Wert sein.
-
Der Referenzverbrauchswert wird aus einer Datenbank abgerufen. Diese Datenbank kann in dem Steuergerät 3 hinterlegt sein. Alternativ oder ergänzend kann das Steuergerät 3 über eine drahtlose Verbindung mit einem externen Server verbunden sein, der die Datenbank aufweist.
-
In S6 wird ein Manipulationssignal erzeugt, wenn eine Abweichung des tatsächlichen Verbrauchswerts von dem Referenzverbrauchswert einen (vorbestimmten) Grenzwert überschreitet. Das Manipulationssignal kann durch das Steuergerät 3 erzeugt werden. Der Grenzwert kann ebenfalls abhängig von der Bewegungsinformation des Fahrzeugs 1 sein. Alternativ oder ergänzend kann der Grenzwert auch ein vorbestimmter Wert sein.
-
In S7 wird sichergestellt, dass ein Vorliegen eines Manipulationssignals auch tatsächlich einem Manipulationsversuch entspricht und nicht aus einer besonderen und seltenen Fahrsituation resultiert, wie z. B. einem steilen Berg hochfahren, das zu einer vergleichsweise niedrigen Fahrzeuggeschwindigkeit bei einem vergleichsweise hohem Kraftstoff- und/oder Energieverbrauch führt.
-
Hierzu wird eine Manipulation festgestellt, wenn das Manipulationssignal über eine (vorbestimmte) Mindestdauer innerhalb eines einzigen Fahrzyklus vorliegt. Mit anderen Worten, liegt ein einziges Manipulationssignal über einen längeren Zeitraum vor, so kann mit einer vergleichsweisen großen Wahrscheinlichkeit davon ausgegangen werden, dass ein Manipulationsversuch vorliegt. Zusätzlich kann auch eine Manipulation festgestellt werden, wenn das Manipulationssignal in einer (vorbestimmten) Mindestanzahl an Fahrzyklen innerhalb einer vorbestimmten Anzahl von aufeinanderfolgenden Fahrzyklen vorliegt. Die Manipulation kann durch das Steuergerät 3 festgestellt werden.
-
In S9 wird in Reaktion auf das Feststellen der Manipulation eine Manipulationsinformation in der Datenbank hinterlegt/gespeichert. Die Manipulationsinformation kann von dem Steuergerät 3 erzeugt werden. Ferner werden in S9 alle Manipulationssignale sowie alle Zeitintervalle, für die ein Manipulationssignal vorliegt, in der Datenbank hinterlegt/gespeichert.
-
In S9 wird an einen Nutzer des Fahrzeugs 1 ein Informationssignal übermittelt, das indikativ für ein Vorliegen von mindestens eines von dem Manipulationssignal und der Manipulationsinformation ist. Das Informationssignal kann durch das Steuergerät 3 erzeugt werden. Ferner kann das Informationssignal, insbesondere über das Anzeigeinstrument 11 und/oder Infotainmentsystem 13, an den Nutzer des Fahrzeugs 1 übermittelt werden.
-
Bezugszeichenliste
-
- 1
- Fahrzeug
- 3
- Steuergerät
- 5
- Radsensor
- 7
- Beschleunigungssensor
- 9
- erste Messeinrichtung 9
- 9'
- zweite Messeinrichtung 9'
- 11
- Anzeigeinstrument
- 13
- Infotainmentsystem
- S1-S9
- Verfahrensschritte
-
ZITATE ENTHALTEN IN DER BESCHREIBUNG
-
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
-
Zitierte Patentliteratur
-
- DE 102017209817 A1 [0009]
- DE 102018201064 A1 [0010]